Partilhar via

AADSignInEventsBeta

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Importante

A AADSignInEventsBeta tabela encontra-se atualmente em versão beta e está a ser disponibilizada a curto prazo para lhe permitir investigar Microsoft Entra eventos de início de sessão. Os clientes precisam de ter uma licença Microsoft Entra ID P2 para recolher e ver atividades para esta tabela. Todas as informações do esquema de início de sessão serão eventualmente movidas para a IdentityLogonEvents tabela.

A AADSignInEventsBeta tabela no esquema de investigação avançado contém informações sobre Microsoft Entra inícios de sessão interativos e não interativos. Saiba mais sobre os inícios de sessão no Microsoft Entra relatórios de atividade de início de sessão - pré-visualização.

Utilize esta referência para construir consultas que devolvem informações da tabela. Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.


Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o registo foi gerado
Application string Aplicação que executou a ação gravada
ApplicationId string Identificador exclusivo da aplicação
LogonType string Tipo de sessão de início de sessão, especificamente interativa, interativa remota (RDP), rede, lote e serviço
ErrorCode int Contém o código de erro se ocorrer um erro de início de sessão. Para encontrar uma descrição de um código de erro específico, visite https://aka.ms/AADsigninsErrorCodes.
CorrelationId string Identificador exclusivo do evento de início de sessão
SessionId string Número exclusivo atribuído a um utilizador pelo servidor de um site durante a visita ou sessão
AccountDisplayName string Nome apresentado na entrada do livro de endereços do utilizador da conta. Normalmente, trata-se de uma combinação do nome, da inicial do meio e do sobrenome do utilizador.
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountUpn string Nome principal de utilizador (UPN) da conta
IsExternalUser int Indica se o utilizador que iniciou sessão é externo. Valores possíveis: -1 (não definido), 0 (não externo), 1 (externo).
IsGuestUser boolean Indica se o utilizador que iniciou sessão é um convidado no inquilino
AlternateSignInName string Nome principal de utilizador (UPN) no local do utilizador que inicia sessão no Microsoft Entra ID
LastPasswordChangeTimestamp datetime Data e hora em que o utilizador que iniciou sessão mudou a palavra-passe pela última vez
ResourceDisplayName string Nome a apresentar do recurso acedido. O nome a apresentar pode conter qualquer caráter.
ResourceId string Identificador exclusivo do recurso acedido
ResourceTenantId string Identificador exclusivo do inquilino do recurso acedido
DeviceName string Nome de domínio completamente qualificado (FQDN) do dispositivo
AadDeviceId string Identificador exclusivo do dispositivo no Microsoft Entra ID
OSPlatform string Plataforma do sistema operativo em execução no dispositivo. Indica sistemas operativos específicos, incluindo variações dentro da mesma família, como Windows 11, Windows 10 e Windows 7.
DeviceTrustType string Indica o tipo de fidedignidade do dispositivo que iniciou sessão. Apenas para cenários de dispositivos geridos. Os valores possíveis são Workplace, AzureAd e ServerAd.
IsManaged int Indica se o dispositivo que iniciou o início de sessão é um dispositivo gerido (1) ou não um dispositivo gerido (0)
IsCompliant int Indica se o dispositivo que iniciou o início de sessão está em conformidade (1) ou não conforme (0)
AuthenticationProcessingDetails string Detalhes sobre o processador de autenticação
AuthenticationRequirement string Tipo de autenticação necessária para o início de sessão. Valores possíveis: multiFactorAuthentication (A MFA era necessária) e singleFactorAuthentication (não era necessária nenhuma MFA).
TokenIssuerType int Indica se o emissor do token está Microsoft Entra ID (0) ou Serviços de Federação do Active Directory (AD FS) (1)
RiskLevelAggregated int Nível de risco agregado durante o início de sessão. Valores possíveis: 0 (nível de risco agregado não definido), 1 (nenhum), 10 (baixo), 50 (médio) ou 100 (alto).
RiskDetails int Detalhes sobre o estado de risco do utilizador que iniciou sessão
RiskState int Indica o estado de utilizador de risco. Valores possíveis: 0 (nenhum), 1 (seguro confirmado), 2 (remediado), 3 (dispensado), 4 (em risco) ou 5 (confirmado comprometido).
UserAgent string Informações do agente do utilizador a partir do browser ou de outra aplicação cliente
ClientAppUsed string Indica a aplicação cliente utilizada
Browser string Detalhes sobre a versão do browser utilizada para iniciar sessão
ConditionalAccessPolicies string Detalhes das políticas de acesso condicional aplicadas ao evento de início de sessão
ConditionalAccessStatus int Estado das políticas de acesso condicional aplicadas ao início de sessão. Os valores possíveis são 0 (políticas aplicadas), 1 (tentativa de aplicar políticas falhadas) ou 2 (políticas não aplicadas).
IPAddress string Endereço IP atribuído ao dispositivo durante a comunicação
Country string Código de duas letras que indica o país/região onde o endereço IP do cliente está geolocalizado
State string Estado em que ocorreu o início de sessão, se disponível
City string Cidade onde o utilizador da conta está localizado
Latitude string As coordenadas norte a sul da localização de início de sessão
Longitude string Coordenadas de leste a oeste da localização de início de sessão
NetworkLocationDetails string Detalhes da localização da rede do processador de autenticação do evento de início de sessão
RequestId string Identificador exclusivo do pedido
ReportId string Identificador exclusivo do evento

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.